Smartere mailvirus ================== Sverre H. Huseby shh@thathost.com 2000-11-21 Virus som spres via mail (egentlig ormer) blir stadig smartere. Nå er du ikke lenger trygg selv om du aldri åpner vedlegg! Et av de siste tilskuddene til ormestammen er BleBla [1], også kjent som Romeo-and-Juliet. BleBla kommer som en HTML-formatert mail, dvs. en webside, og inneholder også to vedlegg. Når mailen åpnes vil normalt en Internet Explorer-komponent få oppdraget med å vise inn- holdet, siden denne komponenten er ekspert på HTML. Tilfeldigvis inneholder websida en lite script som Internet Explorer villig kjører. Scriptet sørger for å åpne vedleggene for deg, og dermed har du en orm gående på maskinen din. Selv om du bare så på mailen i "preview pane" til og med! Hvordan er dette mulig? Som flere andre ormer, utnytter BleBla feil i Microsoftprogrammer, spesielt i Internet Explorer. Forholdsvis ofte oppdages feil som medfører at programmer får rettigheter de ikke skulle hatt. Microsoft er raske til å rette feil, men folk flest er dårlige til å installere rettelsene. Feilen BleBla utnytter ble tettet i juni 2000. Har du installert patchen? [2] For å slippe å følge med på mailinglister som annonserer sikkerhets- feil, vil jeg be deg ta en titt på webtjenesten Windowsupdate [3] fra Microsoft. Velger du "Produktoppdateringer", kjøres et lite program som sjekker hva som er nytt i forhold til det du har på maskinen din. Øverst på listen over nyheter vil du typisk finne "Viktige oppdater- inger". Denne seksjonen viser til sikkerhetsfikser som du bør instal- lere. Gjør det til rutine å gå innom denne tjenesten minst en gang i måneden! Skal man installere feilrettelser hver gang Microsoft kommer med en, får man nesten ikke gjort annet. Det må da finnes bedre måter å beskytte seg mot avanserte ormer på? Ormene som åpner vedlegg har så langt vært avhengige av å få kjørt programkode (scripts) som er inkludert i mailen. Hva som er hensikten med scripts i mail er uten- for undertegnedes fatteevne, så jeg vil anbefale at du skrur av denne muligheten [4]. Sist men ikke minst: Sørg for at du har et oppdatert og fungerende antivirusprogram. Oppdaterer du programmet ditt daglig, eller ihvert- fall ukentlig, er du beskyttet mot det meste. Det hører til sjelden- hetene at virus dumper inn i postkassa di før antivirusprodusentene har en medisin. Sverre. [1] F-Secure's informasjon om BleBla http://www.f-secure.com/v-descs/blebla.htm [2] Microsoft's patch for "HTML Help File Code Execution" http://www.microsoft.com/technet/security/bulletin/ms00-037.asp [3] Microsoft's Windowsupdate-tjeneste for oppdatering av programmer http://windowsupdate.microsoft.com/ [4] Microsoft's oppskrift på kjøring av Outlook uten scripting http://www.microsoft.com/TechNet/security/crsstqs.asp